文章总结： ByteSRC于2026年4月22日至5月13日开展全线业务安全众测活动，提供三重奖励机制：入侵类高危漏洞享3倍积分、新人专属2000元奖励及阳光普照礼品。测试范围涵盖全线业务漏洞，重点收取RCE、SSRF等入侵类漏洞，但排除模型提示响应等非安全问题。活动要求严格遵守无害化测试原则，禁止内网渗透、数据下载等行为，敏感操作需提前报备。 综合评分： 85 文章分类： 漏洞预警,安全运营,解决方案,技术标准,政策法规

ByteSRC全线业务3倍积分！阳光普照&新人礼奉上！

年年 年年

Theloner安全团队

2026年4月23日 11:05 天津

在小说阅读器读本章

去阅读

ByteSRC全线业务多倍激励活动重磅开启

3倍积分！新人礼！阳光普照三重福利奉上

马上提洞，解锁多倍快乐

🔍 src.bytedance.com

PART 1

众测时间

4月22日-5月13日

PART 2

测试范围

全线业务的漏洞及情报

PART 3

三重活动奖励

【多倍奖励｜多挖多得】

入侵类高危/严重漏洞享 3 倍积分

可实现入侵字节内网或抖音生产网效果的漏洞，包括不限于RCE、SSRF、反序列化、WebShell上传获取服务器控制权等

• 数据泄露类等其他类型高危/严重漏洞享2倍积分
• 全线中危漏洞1.5倍积分

【新友启程｜专属礼遇】

2026年未提交过高危严重漏洞的师傅，活动期间提交高危/严重漏洞，奖励2000元/人（以id昵称计数）

【阳光普照｜人人有礼】

活动期间提交任意有效漏洞，奖励ByteSRC文创礼品 3C充电宝

PART 4

补充说明

1.关于「大模型相关产品」漏洞收取说明：适用豆包、扣子、即梦等大模型相关产品

1. 非信息安全漏洞导致的内容安全风险不收、与模型提示和响应内容相关的问题暂不收取。如这些问题对产品可造成额外的、可直接验证的安全影响（机密性、完整性、可用性），则正常收取。

   模型提示和响应内容的相关问题举例：

   ❌ 模型提示：越狱/安全绕过（如 DAN 等相关提示词）

   ❌ 模型响应内容：大模型输出恶意内容（如违规营销信息、恶意代码等，可向产品帮助中心反馈：豆包->设置->帮助和反馈->提交反馈；扣子->[email protected])

   ❌ 模型幻觉：让大模型假装成计算机终端并执行命令等

2. 非隐私数据泄露相关的AI服务风险暂不收取（jail break，prompt leak等）。

3. 个人用户从 Coze发布至豆包的智能体及插件所引发的安全漏洞不收取（如UGC 内容中用户自身行为导致的信息泄露不收取）。

4. 沙箱环境中的代码执行/命令执行本身是预期的产品功能，如果能逃逸或影响到其他用户容器，则正常评分。

2.报告提交地址：src.bytedance.com

3.活动奖励发放说明：无需备注，活动期间提交有效漏洞，默认享有活动奖励；漏洞审核后通过后仅发放基础积分，活动额外奖励积分将在所有报告审核完毕后下发至平台账户。

4.伯乐有礼规则说明：受邀人提交报告在标题备注伯乐ID，奖金以ID计数，多邀多得，未备注则默认不参加伯乐有礼活动

5.活动期间所有报告依据《报告处置规则V6.0》进行等级判定与奖励

6.活动期间有任何问题可通过平台留言&邮箱：[email protected] 联系我们

7.重大漏洞不参与活动翻倍奖励；本次活动奖励不与其他翻倍活动奖励叠加

8.当发现入侵类风险后需周知平台，报备方式：

所有敏感测试测试行为需提前报备，未经提前报备的测试结果不予以漏洞奖励。包括但不限于：反弹shell、容器逃逸、修改任意管理员账号密码、删改数据、文件上传等。

🆕请填写问卷

https://bytedance.larkoffice.com/share/base/form/shrcnrc362x10iXj5YhrHHBHEjc

并将详细信息发送给[email protected]邮箱，将有专人评估，如授权测试则会通过邮箱给您反馈。

📧 邮件标题：【测试报备】业务/产品名+测试行为+昵称

PART 5

测试规则

核心原则

1、合法化原则：所有测试行为必须遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求。

2、无害化原则：禁止进行可能引起用户利益受损、业务异常运行的测试行为。

通用测试规则

1、禁止使用可能造成业务影响的测试工具和手法。如：只允许手工低频测试，不允许手工高频发包、或使用自动化工具/插件测试，避免因过度测试导致业务告警、服务中断等问题。

2、禁止进行内网渗透测试行为和任何有害化的测试行为，包括但不限于：获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。

3、禁止下载、保存、传播业务数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登录凭证等，若存在不知情的下载行为，需及时说明和删除；测试过程中获取的相关代码/数据，务必在SRC漏洞确认后立即删除，不得非法留存及使用（无论数据是否脱敏）。

4、禁止任何类型的网络拒绝服务（DoS 或DDoS）测试，或通过软件、工具自动扫描产生大量数据流量的行为。

5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试，尤其是禁止使用社工库等非法手段获取用户密码。

6、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。

7、禁止以证明漏洞危害为借口，对目标系统进行破坏性操作，如删改数据/配置、植入恶意程序等。

8、禁止用户打扰类测试。包括但不限于向真实用户邮箱、手机、社媒账号等渠道发送测试信息、发起群聊、推送push等干扰信息；或通过电话、即时通讯工具等方式直接联系真实用户进行测试。

9、禁止对未授权厂商/业务、超出测试范围列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。

10、请将所有测试操作和行为及时、如实、完整上报，因故意瞒报、漏报等造成业务损害或潜在风险，ByteSRC保留追责权利。

互动转发抽奖

分享本文至朋友圈

扫码参与抽奖

抽5位小伙伴送出ByteSRC文创3C充电宝

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Theloner安全团队 年年 年年《ByteSRC全线业务3倍积分！阳光普照&新人礼奉上！》